○北見市情報セキュリティに関する基本方針
| (平成18年3月5日内規第1号) |
|
目次
第1章 総則(第1条-第5条)
第2章 基本的な考え方(第6条-第19条)
第3章 雑則(第20条・第21条)
附則
(序文)
北見市において取り扱う情報には、市民の個人情報、行政運営上重要な情報等、外部への漏えい等が発生した場合に極めて重大な影響を及ぼす情報が多数含まれており、これらの情報資産を適切に保護し、責任を持って管理するためには、情報セキュリティマネジメント(情報資産を適切に保護するための組織としての継続的かつ計画的な取組)が必要不可欠である。
そのため、北見市は、情報セキュリティマネジメントの実現に関する体系的かつ具体的な対策等を「北見市情報セキュリティに関する基本方針」として定める。
北見市において取り扱う情報には、市民の個人情報、行政運営上重要な情報等、外部への漏えい等が発生した場合に極めて重大な影響を及ぼす情報が多数含まれており、これらの情報資産を適切に保護し、責任を持って管理するためには、情報セキュリティマネジメント(情報資産を適切に保護するための組織としての継続的かつ計画的な取組)が必要不可欠である。
そのため、北見市は、情報セキュリティマネジメントの実現に関する体系的かつ具体的な対策等を「北見市情報セキュリティに関する基本方針」として定める。
第1章 総則
(目的)
第1条 北見市情報セキュリティに関する基本方針(以下「基本方針」という。)は、北見市(以下「本市」という。)の職員等及び委託事業者が、情報セキュリティの確保に関する包括的な対策を図ることにより、本市の情報資産を適切に保護することを目的とする。
(定義)
第2条 基本方針において、次の各号に掲げる用語の意義は、当該各号の定めるところによる。
(1) 情報セキュリティ 情報資産の機密性、完全性及び可用性を維持すること。
(2) 機密性 許可された者だけが情報資産にアクセスできることを保証すること。
(3) 完全性 情報資産が正確及び完全であることを常に維持すること。
(4) 可用性 許可された者が確実に情報資産を利用できること。
(5) 情報 職員等が職務上作成し、又は取得した全ての文書等のうち電磁的に記録されたもの及び電磁的記録を出力したもの
(6) 個人情報 北見市個人情報の保護に関する条例(平成18年条例第17号)第2条第2項に規定する個人情報
(7) ネットワーク コンピュータ等を相互に接続するための通信網及びその構成機器(ハードウェア及びソフトウェア)をいう。
(8) 情報システム 本市において、ハードウェア、ソフトウェア、ネットワーク、記録媒体等で構成されるものであって、これら全体で業務処理を行うもの及びこれらの仕組みを開発、運用及び保守するために作成された資料等
(9) 情報資産 情報及び情報システムの総称(教育機関で専ら教育用に使用する情報資産を除く。)
(10) 職員等 本市が所掌する情報資産に関する業務に携わる本市の全ての職員及び北見市庁内ネットワークに接続されたパソコン等を操作できる機関の職員の総称
(11) 委託事業者 本市の情報資産に関連する開発、導入、保守等のため委託を受けた全ての事業者等
(12) 北見市庁内ネットワーク 本庁と総合支所、出先機関及び他の行政機関を接続したデータ通信網
(13) 情報セキュリティに関する事案 不正アクセス、コンピュータウイルスの感染等、情報セキュリティに関する事故又は事件
(14) 個人番号利用事務系 個人番号利用事務(社会保障、地方税又は防災に関する事務)又は戸籍事務等に関わる情報システム及びデータをいう。
(15) LGWAN接続系 LGWANに接続された情報システム及びその情報システムで取り扱うデータをいう(個人番号利用事務系を除く。)。
(16) インターネット接続系 インターネットメール、ホームページ管理システム等に関わるインターネットに接続された情報システム及びその情報システムで取り扱うデータをいう。
(17) 通信経路の分割 LGWAN接続系とインターネット接続系の両環境間の通信環境を分離した上で、安全が確保された通信だけを許可できるようにすることをいう。
(18) 無害化通信 インターネットメール本文のテキスト化、端末への画面転送等により、コンピュータウイルス等の不正プログラムの付着が無い等、安全が確保された通信をいう。
(適用範囲)
第3条 基本方針は、本市における全ての情報資産及び職員等並びに委託事業者に対し適用する。
(情報資産に対する脅威)
第4条 基本方針における脅威は、次に掲げる事項とし、情報資産を守るための対策を講じるものとする。
(1) 職員等又は委託事業者による操作ミス、破壊、紛失、物理的又は論理的侵入、窃盗、妨害、盗聴、なりすまし、改ざん、著作権違反、業務目的外使用等
(2) コンピュータウイルス等の悪意のあるプログラムによる物理的又は論理的侵入、窃盗、妨害、破壊、盗聴、なりすまし、改ざん等
(3) 地震、雷、火災、風害、水害等の災害及び停電、回線切断、故障、異常動作等
(4) 大規模かつ広範囲にわたる疾病による要員不足に伴うシステム運用の機能不全等
(5) 電力供給の途絶、通信の途絶、水道供給の途絶等のインフラの障害からの波及等
(構成)
第5条 本市の情報セキュリティポリシー(以下「ポリシー」という。)は、本市における情報セキュリティに関する基本的な考え方を述べた「基本方針」と、基本方針に基づき、情報セキュリティを確保するために遵守すべき行為等の基準を定めた北見市情報セキュリティ対策基準に関する規程(平成29年訓令第14号)からなるものとする。
2 情報セキュリティ対策の具体的な手順等を定めた北見市情報セキュリティ実施手順に関する要綱等は、個別の情報システム又は業務ごとにポリシーに基づき作成するものとする。
第2章 基本的な考え方
(職員等及び委託事業者の責務)
第6条 本市の業務に携わる全ての職員等及び委託事業者は、ポリシーを理解し、遵守することで、情報資産を適切に保護しなければならない。
(組織及び体制)
第7条 本市における情報セキュリティ対策は、役割及び責任を明確にした組織及び体制の下に行うものとする。
(情報の分類と管理)
第8条 本市において取り扱う情報について、重要な情報を重点的に管理するため、重要度に応じた情報分類の定義を行い、情報の管理責任及び管理方法を明確にする。
(情報システム全体の強靭性の向上)
第9条 情報セキュリティの強化を目的とし、業務の効率性及び利便性の観点を踏まえ、情報システム全体に対し、次の三段階の対策を講じる。
(1) 個人番号利用事務系においては、原則として、他の領域との通信をできないようにした上で、端末からの情報持ち出し不可設定や端末への多要素認証の導入等により、住民情報の流出を防ぐ。
(2) LGWAN接続系においては、LGWANと接続する業務用システムと、インターネット接続系の情報システムとの通信経路を分割する。この場合において、両システム間で通信するときは、無害化通信を実施する。
(3) インターネット接続系においては、不正通信の監視機能の強化等の高度な情報セキュリティ対策を実施する。高度な情報セキュリティ対策として、北海道と本市及び市区町村のインターネット接続口を集約した上で、自治体情報セキュリティクラウドの導入等を実施する。
(人的セキュリティ)
第10条 情報セキュリティに関する役割及び責任を明確化し、職員等にポリシーの内容を周知徹底するため、教育等の必要な対策を講ずるものとする。
(物理的セキュリティ)
第11条 情報システムの設置場所について、不正な立入り、損傷又は妨害から情報資産を適切に保護するため、入退室管理等の物理的な対策を講ずるものとする。
2 サーバ、通信回線及び職員等のパソコンの管理について、物理的な対策を講じる。
(技術的対策及び運用管理)
第12条 情報資産を不正なアクセス等から適切に保護するため、情報資産へのアクセス制御、ネットワーク管理等の必要な対策を講ずるものとする。
(コンピュータウイルス対策)
第13条 情報資産をコンピュータウイルス等の悪意のあるプログラムから適切に保護するため及び自らが加害者にならないために必要な対策を講ずるものとする。
(記録媒体等の取扱及び管理)
第14条 情報システムにおける記録媒体等について、適正に管理するための対策を講ずるものとする。
(情報システムの開発、導入及び保守)
第15条 情報システムの開発、導入及び保守においては、情報資産を適切に保護するために必要な対策を講ずるものとする。
(業務委託と外部サービス(クラウドサービス)の利用)
第16条 業務委託を行う場合には、委託事業者を選定し、情報セキュリティ要件を明記した契約を締結し、委託事業者において必要なセキュリティ対策が確保されていることを確認し、必要に応じて契約に基づき措置を講じる。
2 外部サービス(クラウドサービス)を利用する場合には、利用にかかる規定を整備し対策を講じる。
3 ソーシャルメディアサービスを利用する場合には、ソーシャルメディアサービスの運用手順を定め、ソーシャルメディアサービスで発信できる情報を規定し、利用するソーシャルメディアサービスごとの責任者を定める。
(情報セキュリティに関する事案への対応)
第17条 情報セキュリティに関する事案が発生した場合の対応をあらかじめ定めるとともに、情報セキュリティに関する事案が発生した際には、定められた対応を迅速かつ円滑に実施し、その影響を最小限にするとともに、再発防止のために必要な対策を講ずるものとする。
(法令等の遵守)
第18条 職員等は、ポリシーに定められた条項のほか、情報資産の利用において、関連法令、本市が定める条例等を遵守するものとする。
(評価及び見直し)
第19条 新たな脅威等を踏まえ、定期的にポリシー及び情報セキュリティ対策の評価を行い、その見直しを実施する。
第3章 雑則
(公開範囲)
第20条 ポリシーは、情報資産を利用、運用、管理又は保守する全ての職員等及び委託事業者に公開するものとする。
(その他)
第21条 基本方針に定めるもののほか、情報セキュリティに関し必要な事項については、別に定める。
附 則(令和2年4月1日内規第88号)
|
|
この内規は、令和2年4月1日から施行する。
附 則(令和4年3月10日内規第34号)
|
|
この内規は、令和4年4月1日から施行する。
附 則(令和7年3月17日内規第56号)
|
|
この内規は、令和7年4月1日から施行する。